Natuurlijk! Hier is een gedetailleerd VLAN-beleid voor uw Cisco Catalyst 9300 netwerk, gericht op geavanceerde segmentatie, multicast-ondersteuning en voice VLAN-configuratie, inclusief best practices en beveiligingsrichtlijnen: 1. VLAN-definitie en -toewijzing a. VLAN 10 – Data b. VLAN 20 – Voice c. VLAN 30 – Videostreaming (vergaderruimtes) 2. VLAN-configuratie op de switch ```plaintext vlan 10 name Data vlan 20 name Voice priority-queue out mcast-suppress enable vlan 30 name Video ``` 3. Multicast-configuratie voor videostreaming - Multicast routing inschakelen (bijvoorbeeld PIM - Protocol Independent Multicast) ```plaintext ip multicast-routing ``` - Enable IGMP snooping voor efficiënte multicast forwarding ```plaintext vlan 30 ip igmp snooping ``` - Configureer Multicast Source Discovery Protocol (MSDP) of andere multicast routing protocollen afhankelijk van uw netwerkcomplexiteit. 4. Multicast traffic optimalisatie - Gebruik IGMP snooping op alle switches voor voorkoming van onnodige multicast forwarding. - Overweeg het gebruik van multicast filtering en controle op de switch om onbevoegde multicast verkeer te voorkomen. 5. Voice VLAN en prioritering - Configureer het Voice VLAN op access poorten waar VoIP telefoons worden aangesloten: ```plaintext interface GigabitEthernet1/0/1 switchport mode access switchport access vlan 20 switchport voice vlan 20 ``` - Stel Quality of Service (QoS) in om VoIP-verkeer te prioriteren: ```plaintext mls qos trust cos interface GigabitEthernet1/0/1 priority-queue out ``` - Configureer QoS met DSCP of CoS markeringen voor VoIP-verkeer: ```plaintext class-map match-all VOIP match ip dscp ef policy-map PRIORITY-VOIP class VOIP set ip precedence critical priority percent 70 interface GigabitEthernet1/0/1 service-policy output PRIORITY-VOIP ``` 6. Best practices voor implementatie - Segmenteer verkeer strikt op VLAN's en gebruik ACL's om verkeer tussen VLAN's te beperken tenzij noodzakelijk. - Configureer Spanning Tree Protocol (STP) correct om netwerklussen te voorkomen. - Implementeer port security om onbevoegde apparaten te blokkeren. - Gebruik DHCP-snooping en Dynamic ARP Inspection (DAI) voor beveiliging. - Voer regelmatige updates en patches uit op netwerkapparatuur. 7. Beveiligingsrichtlijnen - ACL's op layer 2 en layer 3 om toegang te beperken. - VLAN-beveiligingsinstellingen zoals 'switchport port-security'. - Gebruik authenticatie (zoals 802.1X) voor port-toegang. - Monitor multicast verkeer voor ongewenste of verdachte activiteiten. 8. Monitoring en beheer - Gebruik tools zoals Cisco Prime of network management software voor overzicht. - Configureer syslog en SNMP voor logging en monitoring. Door deze configuratie te volgen, creëert u een netwerk dat geavanceerde segmentatie ondersteunt, multicast verkeer efficiënt routeert en voice verkeer prioriteit geeft, terwijl het ook veilig en beheersbaar blijft. Heeft u nog verdere specificaties of hulp nodig bij de configuratie?

Zeker, hier is een gedetailleerd ontwerp voor een VLAN-beleid voor uw Cisco Catalyst 9300-switches, afgestemd op uw specifieke vereisten. ### Overzicht van het VLAN-beleidsontwerp We gaan drie VLAN's definiëren met een duidelijke scheiding van taken, waarbij we gebruikmaken van de geavanceerde functies van de Catalyst 9300. | VLAN-ID | VLAN Naam | Doel | IP-subnet (voorbeeld) | | :--- | :--- | :--- | :--- | | **10** | `VOICE-VLAN` | VoIP-telefoons (Cisco IP Communicator) | 10.1.10.0/24 | | **20** | `DATA-VLAN` | Algemeen dataverkeer (werkstations, servers) | 10.1.20.0/24 | | **30** | `VIDEO-VLAN` | Videostreaming-apparaten in vergaderruimtes | 10.1.30.0/24 | --- ### Stap 1: Basis VLAN-configuratie Eerst creëren we de VLAN's in de database van de switch. ```cisco ! Toegang tot de globale configuratiemodus configure terminal ! Aanmaken van de VLAN's en toewijzen van een beschrijvende naam vlan 10 name VOICE-VLAN ! vlan 20 name DATA-VLAN ! vlan 30 name VIDEO-VLAN ! exit ``` ### Stap 2: Configuratie van het Voice VLAN voor QoS (Quality of Service) Het prioriteren van voice-verkeer is cruciaal. We gebruiken het **Auto-QoS**-principe, wat de best practice is voor Cisco-apparatuur. Dit vereenvoudigt de configuratie van QoS aanzienlijk. 1. **Globale QoS inschakelen:** ```cisco configure terminal ! ! Globale QoS activeren mls qos ! ! Vertrouw de DSCP (Differentiated Services Code Point) marking die door de IP-telefoons wordt ingesteld. auto qos srnd4 ! exit ``` 2. **Voice VLAN per interface configureren:** Stel dat poorten GigabitEthernet1/0/1 tot 1/0/24 aansluitingen zijn voor gebruikers (waar een telefoon en een PC op aangesloten kunnen zijn). ```cisco configure terminal ! ! Poorten 1-24 selecteren voor configuratie interface range GigabitEthernet1/0/1-24 ! ! Het data VLAN (20) instellen als het native VLAN voor deze poort switchport access vlan 20 ! ! Het voice VLAN (10) instellen voor VoIP-verkeer switchport voice vlan 10 ! ! De link optimaliseren voor VoIP-apparaten (optioneel, maar aanbevolen) spanning-tree portfast ! exit ``` **Hoe het werkt:** Wanneer een Cisco IP-telefoon wordt aangesloten, gebruikt deze CDP (Cisco Discovery Protocol) of LLDP-MED om automatisch te ontdekken dat hij zijn verkeer moet taggen met VLAN 10. De PC achter de telefoon blijft untagged (behoort tot VLAN 20). De switch geeft voice-pakketten (met DSCP waarde EF - Expedited Forwarding) voorrang dankzij de Auto-QoS configuratie. ### Stap 3: Efficiënte Multicast-routering voor Videostreaming Voor multicast (videostreaming) in VLAN 30 willen we voorkomen dat verkeer onnodig alle poorten overspoelt. We gebruiken **IGMP Snooping**, wat standaard ingeschakeld is op de Catalyst 9300, en **IGMP Query**. 1. **Multicast-routering inschakelen op de laag-3-interface (SVI):** We moeten een Switch Virtual Interface (SVI) voor VLAN 30 maken en PIM (Protocol Independent Multicast) inschakelen. ```cisco configure terminal ! ! SVI voor het VIDEO-VLAN aanmaken en een IP-adres toewijzen interface Vlan30 description VIDEO-VLAN SVI ip address 10.1.30.1 255.255.255.0 ! PIM Sparse-Mode inschakelen voor multicast-routering ip pim sparse-mode ! Zorg dat de interface niet administratief uit staat no shutdown ! exit ``` 2. **Optimaliseren van IGMP Snooping (aanbevolen best practice):** Hoewel IGMP Snooping standaard aan staat, kunnen we het expliciet configureren voor betere controle. We stellen een statische IGMP-join in op de poorten die naar de videostreamers in de vergaderruimtes leiden. Dit zorgt ervoor dat de multicaststroom altijd naar die poorten wordt doorgestuurd, zelfs als de ontvanger tijdelijk geen IGMP-rapporten stuurt. ```cisco configure terminal ! ! Stel dat poort GigabitEthernet1/0/48 verbonden is met een videostreamer/server. interface GigabitEthernet1/0/48 switchport access vlan 30 ! Statisch joinen van de multicastgroep (voorbeeld: 239.1.1.100) ip igmp static-group 239.1.1.100 ! exit ``` 3. **De switch configureren als IGMP Querier:** In een pure laag-2-omgeving (zonder router) heeft u een IGMP Querier nodig. Omdat we een SVI hebben, fungeert de switch zelf al als Querier. U kunt dit verfijnen: ```cisco configure terminal ! interface Vlan30 ! Explicitie de switch instellen als IGMP Querier voor VLAN 30 ip igmp querier ! exit ``` ### Stap 4: Beveiligingsbest Practices Segmentatie is een beveiligingsmaatregel op zich, maar we kunnen het versterken. 1. **Prune-on VLAN's op uplink-poorten:** Stel dat poort TenGigabitEthernet1/1/1 een uplink is naar een andere switch of router. Beperk welke VLAN's hierover mogen. ```cisco configure terminal ! interface TenGigabitEthernet1/1/1 switchport mode trunk ! Alleen de benodigde VLAN's toestaan op de trunk switchport trunk allowed vlan 10,20,30 ! exit ``` 2. **Beveiliging op toegangspoorten:** Voeg beveiliging toe aan de gebruikerspoorten om VLAN-hopping te voorkomen. ```cisco configure terminal ! interface range GigabitEthernet1/0/1-24 ! Zorg ervoor dat de poort altijd een toegangspoort is switchport mode access ! Beveiliging inschakelen: limiteer het aantal MAC-adressen en koppel ze aan het VLAN switchport port-security switchport port-security maximum 2 ! Sta 1 PC en 1 telefoon toe switchport port-security violation restrict ! exit ``` 3. **ACL's voor toegangscontrole (Optioneel, maar sterk aanbevolen):** Creëer een uitgebreide ACL om verkeer tussen de VLAN's te controleren. Bijvoorbeeld: sta verkeer van het DATA-VLAN naar het VIDEO-VLAN toe, maar blokkeer andersom. ```cisco ip access-list extended INTER-VLAN-FILTER ! Sta het voice-VLAN toe om met de callmanager te communiceren (bijv. op VLAN 20) permit ip 10.1.10.0 0.0.0.255 10.1.20.0 0.0.0.255 ! Sta videokijkers in DATA-VLAN toe om multicaststreams in VIDEO-VLAN te bereiken permit ip 10.1.20.0 0.0.0.255 239.1.1.0 0.0.0.255 ! Weiger al het andere verkeer tussen VLAN's (default deny ip any any) ! ! Pas de ACL toe op de SVI's (bijvoorbeeld op VLAN 20, de data-VLAN) interface Vlan20 ip access-group INTER-VLAN-FILTER in ``` ### Samenvatting van de werkstroom 1. **Creëer de VLAN's** in de VLAN-database. 2. **Configureer Auto-QoS** globaal voor voice-prioritering. 3. **Wijs de voice en data VLAN's toe** aan de gebruikerspoorten. 4. **Creëer SVI's** voor de VLAN's die routing nodig hebben (in dit geval vooral VLAN 30 voor PIM). 5. **Configureer multicast** met PIM op de SVI en gebruik IGMP-optimalisaties op de poorten. 6. **Implementeer beveiliging** door trunks te "prunen" en port security te gebruiken. Door dit beleid te volgen, bereikt u een netwerk met een duidelijke scheiding van verkeerstypen, geoptimaliseerde prestaties voor real-time applicaties zoals voice en video, en een sterke beveiligingspostuur door middel van segmentatie en toegangscontrole.